整理 | 夢依丹
出品 | CSDN(ID:CSDNnews)
全球知名開源日誌元件Apache Log4j被曝存在嚴重高危險級別遠端程式碼執行漏洞,攻擊者可以利用該漏洞遠端執行惡意程式碼。
據阿里雲通報,
由Apache Log4j2某些功能存在遞迴
解析功能,攻擊者可直接構造惡意請求,觸發遠端程式碼執行漏洞。
該漏洞於12月7日由遊戲平臺Minecraft使用者在網上曝光,據稱駭客可以透過操作日誌訊息(甚至在聊天資訊中鍵入內容),並且還可以在Minecraft伺服器端執行惡意程式碼。Apache log4j官方在7日當天便釋出2。15。0-rc1版本以修復漏洞,隨後,阿里雲、鬥象科技、綠盟科技、默安科技、奇安信等安全廠商釋出危害通報。
目前受漏洞影響的主要是Apache Log4j 2。x <= 2。14。1版本,當用戶使用Apache Log4j2來處理日誌時,漏洞會對使用者輸入的內容進行特殊處理,攻擊者便可以在Apache Log4j2中構造特殊請求來觸發遠端程式碼執行。
如何判斷是否受影響,開發者只需排查在Java應用中是否引入log4j-api, log4j-core兩個jar檔案,若存在,建議立即進行安全排查,採取防護措施。目前可能受影響的元件有:
Spring-Boot-strater-log4j2
Apache Solr
Apache Flink
Apache Druid
這意味著有大量的第三方應用程式也可能受到了感染與威脅。
如何修復:
儘快將Apache Log4j 2所有相關應用升級到最新的 log4j-2。15。0-rc2 版本,地址:https://github。com/apache/logging-log4j2/releases/tag/log4j-2。15。0-rc2
如果無法儘快更新版本,可以透過以下方法緊急緩解:
a、修改jvm引數 -Dlog4j2。formatMsgNoLookups=true
b、修改配置:log4j2。formatMsgNoLookups=True
c、系統環境變數 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS設定為true
參考連結:
https://arstechnica。com/information-technology/2021/12/minecraft-and-other-apps-face-serious-threat-from-new-code-execution-bug/
https://help。aliyun。com/noticelist/articleid/1060971232。html
